程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> 其他數據庫知識 >> 更多數據庫知識 >> sql注入之新手入門示例詳解

sql注入之新手入門示例詳解

編輯:更多數據庫知識

前言

在學習這篇文章之前,至於要學習了SQL注入的前提知識,可以參考之前寫的一篇sql注入之必備的基礎知識。

認識SQL注入

最開始就從最簡單的開始,進入到less-1開始我們的SQL注入學習之旅。

通過改變http://localhost/sqlilabs/Less-1/?id=3的id值,頁面上呈現不同的內容(username,password)。

那麼我們就可以猜測在後台中的SQL語句就是根據前台傳入的id值來去對應的數據。

那麼SQL語句的寫法為:

select username,password from table where id=input

判斷存在SQL語句

接下來進行做測試,使用以下的語句進行測試:

http://localhost/sqlilabs/Less-1/?id=3 and 1=1
http://localhost/sqlilabs/Less-1/?id=3 and 1=2

這個時候頁面沒有任何的變化,這是不和符合我們預期的結果,因為當id=3 and 1=2時,SQL語句變為select username,password from table where id=3 and 1=2頁面應該不會有內容。

確定存在SQL語句

使用了之前的語句不行之後,我們使用如下的語句:

http://localhost/sqlilabs/Less-1/?id=3'

當URl是以上的SQL語句時,頁面上顯示SQL執行錯誤信息You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''3'' LIMIT 0,1' at line 1

其中最關鍵的錯誤信息是:

''3'' LIMIT 0,1'

最外層的引號是mysql出錯時自動加上的。那麼實際的SQL語句是 '3'' LIMIT 0,1。我們發現在我們輸入的3'被引號包圍了,那麼我們之前猜測的select username,password from table where id=input有誤,實際的後台的SQL語句應該為:

select username,password from table where id='input'

SQL注入驗證

在確定存在了SQL注入之後,同時知道了後台SQL寫法,那麼此時我們就可以注入自己的SQL注入的代碼。

由於我們可以控制id的值,那麼最終輸入的SQL語句會變為:

select username,password from table where id='input 攻擊代碼'

此時我們就可以構造如下的payload來驗證我們的想法。由於我們的輸入是被一對單引號包裹的,所以我們輸入的語句必須要能夠不被單引號影響。要麼閉合單引號,要麼注釋掉單引號。(可以參考前面的文章)

#閉合單引號
id=1 and '1' = '1 # 
#注釋單引號
id=1 and 1=1 # 或者 id=1 and 1=1--+

當我們使用上面的這3個payload之後,頁面顯示的結果是符合預期的。那麼我們也可以確定id參數確實是存在SQL注入的。後台的SQL語句的寫法也的確是select username,password from table where id='input'

在確定了SQL語句之後,接下裡就是注入SQL注入代碼了。

執行SQL注入

使用SQL語句來進行脫褲,這一點是十分關鍵的。如果僅僅是知道存在SQL注入但是無法脫褲,那麼實際上這個漏洞對於該網站的危害性還是很小的。如何構造正確的SQL語句進行脫褲,這一點也是十分重要的,在下一篇文章中將會詳細地講解SQL注入的詳細的步驟。

注入類型判斷

在本題中的SQL語句就稱之為字符型的SQL注入,因為我們的輸入在SQL語句執行的過程中被單引號所包括,其實在SQL語句執行中,這個id參數被當做是一個字符類型的數據。除了有字符型的SQL注入,當然還有數字型的SQL語句。那麼如何區分這兩者呢?

字符型SQL注入

在確定存在SQL語句這節中,當我們輸入id=3'是頁面的出錯信息是 '3'' LIMIT 0,1。我們發現3'被引號所包圍,那麼說明這個就是一個字符型的SQL注入了。

數字型SQl注入

在less-2中,當我們同樣輸入id=3'時,頁面的出錯信息是 ' LIMIT 0,1,那麼就說明是一個數字型的注入了同時還存在limit關鍵字,那麼我們猜測less-2中的SQL注入為:

select username,password from table where id=input limit 0,1

以上都可以通過查看源代碼的方式來進行驗證。

SQL語句判斷

但是很多時候我們通過單引號的方式並不能返回sql執行語句的錯誤信息,就無法通過錯誤信息得到注入類型。因為很多時候在後台的SQL語句會有各種千奇百怪的寫法。

在less-3和less-4中的寫法就是如下:

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"

在less-3中使用了括號來包裹用戶的輸入

$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";

在less-4中使用了雙引號來包裹用戶的輸入,那麼當你即使加上了單引號進行測試的時候還是無法出發SQL語句執行錯誤。

所以說很多時候僅僅使用單一的符號進行判斷是完全不夠的,要多使用不同類型的符號來進行測試的判斷,使用包括',",\,(,=,&等等字符,甚至有時候還要使用其他的探查方法,因為你無法判斷後台的SQL語句的寫法,而且目前很多的網站開發人員已經有了一定的安全意識,可能常規的SQL探查語句也無法使用。關於其他跟多SQL注入的探查語句,網上有很多的資料。

總結

SQL注入的判斷沒有萬能方法,只有不斷的進行嘗試,當你有了一定的經驗之後,就會對注入類型有了自覺,同時對於SQL注入的判斷也會更快。以上就是這篇文章的全部內容了,如果要對實際的網絡中的網站進行安全測試,以上的知識是遠遠不夠的。小編會繼續更新更多sql注入的文章,請繼續關注。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved